第4章知识类:信息安全管理
信息安全管理是注册信息安全专业人员需要掌握的主体知识内容之一。通过本部分的学习,学员应当:
理解信息安全管理对于保障信息系统安全的作用;
理解信息安全管理体系、风险管理和信息安全管理控制措施的含义;
掌握建立和完善信息安全管理体系的一-般方法:
掌握信息安全风险管理工作的方法和一般原则:
掌握各个信息安全管理控制措施的作用及最佳实践。
4.1知识体:信息安全管理基础
图4-1:知识体:信息安全管理基础
4.1.1知识域:信息安全管理概述
知识子域:信息安全管理基本概念
理解管理、信息安全管理的概念,理解信息安全管理的对象
理解以建立体系的方式实施信息安全管理的必要性
理解体系、管理体系、信息安全管理体系的概念
知识子域:信息安全管理作用
理解信息安全管理的重要作用
理解信息安全管理体系的作用
4.1.2知识域:信息安全管理方法与实施
知识子域:信息安全管理方法
理解风险管理是信息安全管理的基本方法,理解风险评估是信息安全管理的基础,风险处理是信息安全管理的核心,理解控制措施是管理风险的具体手段
理解过程方法是信息安全管理的基本方法,理解过程和过程方法的含义,理解PDCA模型
知识子域:信息安全管理实施
理解建设信息安全管理体系是系统地实施信息安全管理的一种方法
理解建设信息安全等级保护是系统地实施信息安全管理的一种方法
了解基于NISTSP800进行信息安全建设是实施信息安全管理的一种方法
4.2知识体:信息安全风险管理
图4-2:知识体:信息安全风险管理
4.2.1知识域:信息安全风险管理基础
知识子域:信息安全管理方法
理解风险管理是信息安全管理的基本方法,理解风险评估是信息安全管理的基础,风险处理是信息安全管理的核心,理解控制措施是管理风险的具体手段
理解过程方法是信息安全管理的基本方法,理解过程和过程方法的含义,理解PDCA模型
知识子域:信息安全管理实施
理解建设信息安全管理体系是系统地实施信息安全管理的一种方法
理解建设信息安全等级保护是系统地实施信息安全管理的一种方法
了解基于NISTSP800进行信息安全建设是实施信息安全管理的一种方法
4.2.2知识域:信息安全风险管理主要内容
知识子域:信息安全风险管理的基本内容和过程
理解背景建立的主要工作内容
理解风险评估的主要工作内容
理解风险处理的主要工作内容
理解批准监督的主要工作内容
理解监控审查的主要工作内容
理解沟通咨询的主要工作内容
知识子域:信息系统生命周期与信息安全风险管理
理解信息系统生命周期与信息安全风险管理的关系
理解系统规划阶段的风险管理工作内容
理解系统设计阶段的风险管理工作内容
理解系统实施阶段的风险管理工作内容
理解系统运行维护阶段的风险管理工作内容
理解系统废弃阶段的风险管理工作内容
4.2.3知识域:信息安全风险评估
知识子域:风险评估工作形式
理解自评估和检查评估的风险评估工作形式
理解自评估和检查评估的区别及优缺点
理解风险评估、检查评估和等级保护测评之间的关系
知识子域:风险评估方法
理解定性风险分析方法
理解定量风险分析方法,掌握年度预期损失(ALE)的计算方法
理解半定量风险分析方法
理解定性和定量风险分析方法的优缺点
知识子域:风险评估的实施流程
掌握风险评估准备阶段的工作内容
掌握风险要素识别阶段的工作内容
掌握风险分析阶段的工作内容和工作步骤
掌握风险结果判定阶段的工作内容
知识子域:风险评估工具
了解风险评估工具的分类
了解常用风险评估工具
图4-3:知识体:信息安全管理体系
4.3.1知识域:信息安全管理体系基础
知识子域:管理职责
理解管理者履行管理职责对成功实施信息安全管理体系(ISMS)的重要推动作用
掌握实施ISMS过程中管理者应承担的管理职责的主要内容
知识子域:文档控制
理解文档化对实施ISMS的重要性
理解风险评估结果是编制ISMS文件的依据
了解对ISMS文件和记录进行保护和控制的常规措施
知识子域:内部审核和管理评审
了解内部审核的概念,以及内部审核的目的、实施主体、实施方式、审核准则
了解管理评审的概念,以及管理评审的目的、实施主体、实施对象、实施方式
知识子域:信息安全管理体系认证了解ISMS认证的概念
理解ISMS认证是促进信息安全管理体系改进的一种外部驱动力
4.3.2知识域:信息安全管理体系建设
知识子域:规划与建立ISMS
理解定义ISMS范围和边界、实施风险评估、获得管理者对残余
风险的批准等规划与建立ISMS的主要工作内容
知识子域:实施和运行ISMS
理解实施风险处理计划、开发有效性测量程序、管理ISMS的运
行等实施和运行ISMS的主要工作内容
知识子域:监视和评审ISMS
理解进行有效性测量、实施内部审核、实施管理评审等监视和评审ISMS的主要工作内容
知识子域:保持和改进ISMS
理解实施纠正和预防措施、沟通措施和改进情况等保持和改进ISMS的主要工作内容
4.3.3知识域:信息安全控制措施
知识子域:安全方针
理解信息安全方针控制目标的含义
掌握信息安全方针文件和信息安全方针评审两项措施的常规控制方法
知识子域:信息安全组织
理解内部组织控制目标的含义,掌握信息安全协调等实现这一目标的控制措施的常规实施方法
理解外部各方控制目标的含义,掌握与外部各方相关风险的识别
等控制措施的实施方法
知识子域:资产管理
理解对资产负责控制目标的含义,掌握资产清单、资产责任人等控制措施的实施方法
理解信息分类控制目标的含义,掌握分类指南、信息的标记和处理等控制措施的实施方法
知识子域:人力资源安全
理解任用前控制目标的含义,掌握角色和职责、审查等控制措施的实施方法
理解任用中控制目标的含义,掌握管理职责、信息安全意识教育和培训等控制措施的实施方法
理解任用的终止或变化控制目标的含义,掌握终止职责、撤销访问权等控制措施的实施方法
知识子域:物理和环境安全
理解人身安全的重要性
理解安全区域控制目标的含义,掌握物理安全边界、物理入口控制等控制措施的实施方法
理解设备安全控制目标的含义,掌握设备安置和保护、支持性设施等控制措施的实施方法
知识子域:通信和操作管理
理解操作程序和职责、第三方服务交付管理、系统规划和验收、防范恶意代码、备份、网络安全管理、介质处置、信息的交换、电子商务服务、监视和访问控制这些控制目标的含义
掌握实现这些控制目标的控制措施的实施方法
知识子域:访问控制
理解访问控制的业务要求、用户访问管理、用户职责、网络访问
控制、操作系统访问控制、应用和信息访问控制、移动计算和远程工作这些控制目标的含义
掌握实现这些控制目标的控制措施的实施方法
知识子域:信息系统获取、开发与维护
理解信息系统的安全需求、应用中的正确处理、密码控制、系统文件的安全、开发和支持过程中的安全、技术脆弱性管理这些控制目标的含义
掌握实现这些控制目标的控制措施的实施方法
知识子域:符合性
理解符合法律要求、符合安全策略和标准以及技术符合性、信息系统审核考虑这些控制目标的含义
掌握实现这些控制目标的控制措施的实施方法
4.4知识体:应急响应与灾难恢复
图4-4:知识体:应急响应与灾难恢复
4.4.1知识域:应急响应概况
知识子域:信息安全事件分类分级
理解信息安全事件和应急响应的基本概念
了解国际和我国的信息安全应急响应组织
了解我国信息安全事件应急响应工作的进展情况、政策要求和相关标准
理解我国信息安全事件分类、分级方法
知识子域:信息安全应急响应管理过程
掌握信息安全应急响应阶段方法论
掌握准备、检测、遏制、根除等应急响应阶段的主要工作内容
掌握信息安全应急响应计划编制方法
知识子域:计算机取证
了解计算机取证的概念和目的
了解计算机取证的基本步骤
4.4.2知识域:信息系统灾难恢复
知识子域:灾难恢复概况
了解灾难恢复的历史和背景、进展情况、政策要求和相关标准
理解业务连续性管理与灾难恢复相关的基本概念
了解灾难恢复组织的一般结构和职责
理解组织应依据自身业务特点制定适宜的灾难恢复战略
理解编制详细准确的备份策略和恢复步骤文档是成功恢复的基础,
理解恢复性测试的重要性
知识子域:灾难恢复管理过程
掌握灾难恢复管理工作的主要内容
掌握灾难恢复规划过程:灾难恢复需求分析、灾难恢复策略制定、
灾难恢复策略实现、灾难恢复预案制定和管理
理解同城和异地灾难备份中心的优缺点
知识子域:灾难恢复能力
掌握有关标准对信息系统灾难恢复能力级别的划分
理解各恢复能力级别对各类灾难恢复资源要素的指标要求
掌握确定组织自身所需灾难恢复能力级别的方法
4.4.3知识域:灾难恢复相关技术
知识子域:备份技术
理解全备份、增量备份和差分备份三种备份方式
理解三种备份方式的特点
知识子域:备用场所
了解冷站、温站、热站、移动站和镜像站等类别的备用场所的概念,
了解各类备用场所具有的功能、备战性程度
了解由组织拥有或运行维护的专用站点、同内部或外部实体通过
签署互惠协议而确定的备用站点、向专业商业组织租用的备用站
点在建设和管理方式方面的不同
